Nx paketinin kötü amaçlı sürümleri, dosya sistemi taraması yaparak kimlik bilgilerini toplayan ve bunları kullanıcının GitHub hesabında herkese açık depolara gönderen postinstall betikleri içeriyordu. Bu paketler npm üzerinde yayımlandı ve haftada 3,5 milyondan fazla indirildi.
Olayın Kök Nedeni ve İş Akışı Açığı
26 Ağustos 2025’te ele geçirilen Nx paketleri, 21 Ağustos’ta eklenen savunmasız bir CI iş akışındaki pull_request_target tetikleyicisi nedeniyle saldırıya uğradı. Bu tetikleyici, GITHUB_TOKEN dahil olmak üzere yükseltilmiş izinlerle kod yürütülmesine olanak sağladı. Kötü niyetli PR başlıklarıyla bash enjeksiyonu yapılarak npm tokenları saldırgan kontrolündeki webhook.site adresine sızdırıldı.
Kötü Amaçlı Paketlerin İşleyişi ve Etkileri
Postinstall betiği, sistemdeki metin dosyalarını tarayarak kimlik bilgilerini Base64 formatında GitHub’da “s1ngularity-repository” adlı depolara gönderdi. Ayrıca .zshrc ve .bashrc dosyalarını sudo shutdown -h 0 komutu ekleyerek kullanıcı şifresi alıp sistemi kapatacak şekilde değiştirdi. Bu durum, kullanıcıların hesaplarının ele geçirilmesine ve kimlik bilgilerinin sızmasına yol açtı.
İyileştirme ve Güvenlik Önlemleri
Nx ekibi, npm ve GitHub tokenlarının döndürülmesi, şüpheli aktivitelerin denetlenmesi ve yayın erişiminde 2FA zorunluluğu gibi önlemler aldı. Wiz araştırmacıları, sızdırılan 1.000’den fazla GitHub tokenının %90’ının hala geçerli olduğunu ve onlarca bulut kimlik bilgisi ile npm tokenının ele geçirildiğini bildirdi.
İkinci ve Üçüncü Dalga Saldırılar
28 Ağustos’ta Wiz, ikinci bir saldırı dalgası tespit etti; 190’dan fazla kullanıcı ve organizasyon etkilendi, 3.000’den fazla depo açığa çıktı. Saldırganlar özel depoları herkese açıp yeniden adlandırdı. 31 Ağustos’ta ise üçüncü bir etkinlikte 500 özel depo sızdırıldı. StepSecurity, saldırganların ele geçirilen kimlik bilgileriyle özel depoların çatallarını oluşturarak verileri koruduğunu açıkladı.
AI Araçlarının Kötüye Kullanımı ve Siber Güvenlik Perspektifi
StepSecurity, bu olayın geliştirici AI asistanları Claude Code, Google Gemini CLI ve Amazon Q CLI gibi araçların tedarik zinciri istismarı için kullanıldığı ilk vaka olduğunu belirtti. GitGuardian analizleri, enfekte sistemlerin %33’ünde en az bir LLM istemcisinin yüklü olduğunu ve %85’inin macOS kullandığını ortaya koydu. Snyk, AI kodlama ajanlarının CLI’larının koruma önlemleri devre dışı bırakıldığında kötü amaçlı otonom ajanlara dönüşebileceğine dikkat çekti.
Sonuç ve Öneriler
Bu tedarik zinciri saldırısı, CI/CD iş akışlarındaki uzun ömürlü tokenların risklerini ve AI araçlarının kötüye kullanım potansiyelini gözler önüne serdi. Kullanıcıların npm ve GitHub tokenlarını değiştirmeleri, şüpheli paketleri kullanmayı bırakmaları ve .zshrc ile .bashrc dosyalarını kontrol etmeleri önem taşıyor. Ayrıca, AI kodlama ajanlarının erişimlerinin kısıtlanması ve düzenli denetimlerin yapılması öneriliyor.